Настроение:	sick
Музыка:	Wobbler - Afterglow
Entry tags:	ddos

подборка статей про ботнеты
Вот новая пачка ботов, собранная за полдня
позавчера:

http://verbit.ru/LJR/botnet-12-dec-2009.txt

Старая (4-е декабря) тут:

http://verbit.ru/LJR/botnet.txt

Открывается медленно, потому что ддосят.

Немного исследовал список.
Заметил две две вещи.

1. Практически полное отсуствие русских IP
в первом списке. Один на 5275. Из Белоруссии - вчетверо
больше, из Израиля пачками. Во втором списке тоже немного.

2. Вот что говорит nmap -O, выборочно запущенный на
некоторые адреса (в основном компы были выключены, естественно).

Interesting ports on host-48-net-1-160-119.mobilinkinfinity.net.pk (119.160.1.48):
Not shown: 984 closed ports
PORT STATE SERVICE
53/tcp open domain
80/tcp open http
135/tcp filtered msrpc
139/tcp filtered netbios-ssn
445/tcp filtered microsoft-ds
593/tcp filtered http-rpc-epmap
4444/tcp filtered krb524
5060/tcp open sip
6666/tcp filtered irc
6667/tcp filtered irc
6668/tcp filtered irc
6669/tcp filtered irc
7000/tcp filtered afs3-fileserver
7001/tcp filtered afs3-callback
8080/tcp open http-proxy
8888/tcp open sun-answerbook
No OS matches for host

Interesting ports on client-190.40.82.37.speedy.net.pe (190.40.82.37):
Not shown: 997 filtered ports
PORT STATE SERVICE
23/tcp open telnet
80/tcp open http
443/tcp open https
Warning: OSScan results may be unreliable because we could not find at least 1 open and 1 closed port
Device type: broadband router
Running (JUST GUESSING) : Thomson embedded (89%)
Aggressive OS guesses: Thomson ST 536i ADSL modem (89%)
No exact OS matches for host (test conditions non-ideal).

Interesting ports on adsl2107.4u.com.gh (41.210.2.107):
Not shown: 999 filtered ports
PORT STATE SERVICE
8701/tcp open unknown
Warning: OSScan results may be unreliable because we could not find at least 1 open and 1 closed port
Device type: broadband router|WAP|switch|storage-misc|remote management
Running (JUST GUESSING) : Solwise embedded (93%), D-Link embedded (92%), TRENDnet embedded (92%), CastleNet embedded (91%), Huawei embedded (91%), ZTE embedded (91%), Allied Telesyn embedded (89%), IBM embedded (88%)
Aggressive OS guesses: Solwise SAR100 ADSL modem (93%), D-Link DWL-624+ or TRENDnet TEW-432BRP wireless broadband router (92%), Zoom X5 ADSL modem (91%), D-Link DSL-500G ADSL router (91%), Huawei MT882 ADSL modem (91%), ZTE ZXDSL 831 ASDL modem (91%), Allied Telesyn AT-9448Ts/XP switch (89%), IBM BladeCenter management module (firmware BRET85L), IBM System Storage TS3100/TS3200 Express Model tape library, or HP StorageWorks MSL2024 tape library (88%), Linksys BEFSR41 EtherFast router or D-Link DCS-6620G webcam (87%), Nokia N81 mobile phone (Symbian OS) (87%)
No exact OS matches for host (test conditions non-ideal).
Network Distance: 16 hops

Stats: 0:00:01 elapsed; 0 hosts completed (1 up), 1 undergoing SYN Stealth Scan
SYN Stealth Scan Timing: About 1.75% done; ETC: 21:53 (0:01:25 remaining)
Interesting ports on 190.87.153.84:
Not shown: 998 filtered ports
PORT STATE SERVICE
23/tcp open telnet
80/tcp open http
Warning: OSScan results may be unreliable because we could not find at least 1 open and 1 closed port
Device type: broadband router
Running (JUST GUESSING) : Thomson embedded (91%)
Aggressive OS guesses: Thomson ST 536i ADSL modem (91%), Thomson SpeedTouch 510/510i/530/580 DSL modem (85%)

Ничего особо интересного, вполне себе
обычный ботнет на миллион зомбированных
виндозных ящиков с кабельным провайдером.
Долбится, конечно, дико агрессивно (от каждого
компа приходит по 5-6 запросов в секунду), но
только и всего, ботнет и ботнет.

Процентов 70-80 всех ботнетов в мире управляются
из России/Украины, остальные в основном из Китая.

Отсутствие русских IP в списке, кстати, объясняется
весьма легко - почти все такие деятели ходят под гебе,
соответственно, во избежание трений с куратором,
отечественные компы они не трогают. Иначе куратору
придется их отмазывать от русских ментов, а это никому
не нужно, ни ментам, ни куратору. От иностранных
ментов отмазать не проблема же, суверенненько так.

Но, судя по составу второго списка, особо тут
никто не парится. При том, наибольшее количество
зараженных компьютеров по всему миру располагается
в России (вместе с Бразилией и Турцией), что
символизирует.

Вот небольшая подборка статей про ботнеты
http://news.cnet.com/8301-10789_3-10086352-57.html
http://www.theregister.co.uk/2009/03/16/bbc_botnet_bought/
http://news.cnet.com/8301-10789_3-10040669-57.html
http://www.theregister.co.uk/2008/08/04/dutch_botnet_herders_arrested/
http://www.theregister.co.uk/2009/07/02/3fn_takedown/
http://news.cnet.com/8301-1009_3-10246721-83.html
1 | 2

Привет